PT-2022-12000 · D Link · D-Link Dap-1360

Publicado

2022-03-27

Atualizado

2022-04-04

CVE-2021-44127

CVSS v3.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

DLink DAP-1360 F1 versões <=v6.10

Descrição

A vulnerabilidade permite que um invasor execute comandos de sistema arbitrários utilizando o parâmetro file quando este é definido como name=deleteFile após a autorização. Isso está relacionado ao binário “webupg”.

Recomendações

Para as versões do DLink DAP-1360 F1 <=v6.10, como solução temporária, considere restringir o acesso ao binário “webupg” e ao parâmetro file para minimizar o risco de exploração. Evite usar o parâmetro file com o valor name=deleteFile no binário afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-44127

Produtos afetados

D-Link Dap-1360

PT-2022-12000 · D Link · D-Link Dap-1360

CVE-2021-44127

Identificadores relacionados

Produtos afetados

Referências · 5